Dalam sebuah laporan yang diterbitkan bulan ini, peneliti keamanan dari Shadowserver Foundation, sebuah organisasi nirlaba yang berfokus pada peningkatan praktik keamanan siber di seluruh dunia, telah menerbitkan peringatan tentang perusahaan yang membiarkan printer mereka terpapar secara online.
Lebih khusus lagi, para peneliti di Shadowserver melakukan pemindaian terhadap empat miliar alamat IPv4 yang dapat dirutekan untuk printer yang mengekspos port IPP mereka.
IPP adalah singkatan dari “Internet Printing Protocol“, dan seperti namanya, IPP adalah protokol yang memungkinkan pengguna untuk mengelola printer yang terhubung ke internet dan mengirim pekerjaan pencetakan ke printer yang dihosting secara online.
Perbedaan antara IPP dan beberapa protokol manajemen printer lainnya yaitu IPP merupakan protokol aman yang mendukung fitur-fitur canggih seperti daftar kontrol akses, otentikasi, dan komunikasi terenkripsi.
Para peneliti Shadowserver mengatakan mereka secara khusus memindai internet untuk printer-printer berkemampuan IPP yang dibiarkan terbuka tanpa dilindungi oleh firewall dan memungkinkan penyerang untuk menanyakan detail lokal melalui fungsi “Get-Printer-Attributes”.
Secara total, para peneliti mengatakan mereka biasanya menemukan rata-rata sekitar 80.000 printer yang terekspos secara online melalui port IPP setiap harinya.
Jumlahnya sekitar seperdelapan dari semua printer berkemampuan IPP yang saat ini terhubung secara online. Pemindaian normal dengan mesin pencari BinaryEdge mengungkapkan hitungan harian antara 650.000 dan 700.000 perangkat dengan port IPP (TCP/631) dapat digunakan melalui internet.
Masalah tidak mengamankan port IPP
Ada beberapa masalah besar dengan membiarkan port IPP terbuka sepenuhnya online tanpa perlindungan tambahan, seperti firewall atau mekanisme otentikasi.
Sebagai permulaan, para peneliti Shadowserver mengatakan port ini dapat digunakan untuk pengumpulan intelijen. Ini dimungkinkan karena sebagian besar printer berkemampuan IPP menmpilkan informasi tambahan tentang diri mereka, seperti nama printer, lokasi, model, versi firmware, nama organisasi, dan bahkan nama jaringan WiFi.
Penyerang dapat mengumpulkan informasi ini dan kemudian mencari jaringan perusahaan tempat mereka ingin memfokuskan serangan.
Selain itu, sekitar seperempat dari jumlah total printer yang mendukung IPP (sekitar 21.000) juga memaparkan detail pembuatan dan model mereka. Peneliti Shadowserver mengatakan mengekspos informasi ini “jelas membuat penyerang lebih mudah menemukan dan menargetkan populasi perangkat yang rentan terhadap kerentanan tertentu.”
Yang memperburuk masalah ini, adanya alat untuk meretas IPP yang tersedia secara online. Alat-alat seperti PRET (Printer Exploitation Toolkit) mendukung peretasan IPP, dan mereka juga pernah digunakan untuk membajak printer dan memaksa perangkat untuk mencetak berbagai pesan propaganda. Selain itu, toolkit tersebut juga dapat digunakan untuk hal yang lebih berbahaya, seperti mengambil alih perangkat yang rentan sepenuhnya.
Baca Juga: “Kerentanan Ripple20 Membuat Miliaran Perangkat IoT Beresiko“
Laporan harian gratis terkait eksposur IPP
Shadowserver Foundation mengatakan bahwa kedepannya berencana untuk menerbitkan laporan harian tentang paparan IPP di situs webnya.
“Kami berharap bahwa data yang dibagikan dalam laporan perangkat IPP terbuka kami yang baru akan mengarah pada pengurangan jumlah printer IPP yang terpapar di Internet, serta meningkatkan kesadaran akan bahaya memaparkan perangkat tersebut ke pemindai/penyerang,” kata Shadowserver.
Untuk mengkonfigurasi kontrol akses IPP dan fitur otentikasi IPP, pengguna disarankan untuk memeriksa manual printer masing-masing. Sebagian besar printer memiliki bagian konfigurasi IPP di panel administrasi dimana pengguna dapat mengaktifkan otentikasi, enkripsi, dan membatasi akses ke perangkat melalui daftar akses.
